Nouvelle loi sur la protection des données: points d'attention

Si de manière générale le fait que la loi fédérale sur la protection des données entre en vigueur le 1er septembre prochain dans sa version modifiée est connu des organisations, les contours de cette nouvelle loi ne le sont pas, en particulier les nouvelles obligations et leurs conséquences dans le domaine des ressources humaines. Les principes applicables au traitement des données personnelles sont inchangés, mais la loi introduit quelques obligations nouvelles et renforce le droit des personnes concernées, les compétences des autorités de surveillance fédérale et cantonales, ainsi que l’absolue nécessité d’être désormais conforme dans le traitement de ces données personnelles.

Protection par défaut

C’est ainsi que pour s’assurer que le traitement de données personnelles répondra aux sept principes que sont la licéité, la finalité, la proportionnalité, l’exactitude, la bonne foi, la transparence et la sécurité, le législateur a introduit un nouveau concept, l’obligation de la protection dès la conception et par défaut (appelée aussi Privacy by design and by default). Il s’agit de prendre en considération ces principes dès qu’un projet est à l’étude, pour garantir qu’une fois en production le produit permettra la conformité. De même, lorsqu’on envisage un nouveau traitement portant sur des données personnelles, soit en grand volume, soit de nature sensible, le Responsable de traitement devra procéder, avant toute chose, à une analyse d’impact.

SIRH ou plateforme RH interactive

Dans le domaine RH, on peut illustrer ces deux obligations ainsi: le SIRH fait-il l’objet d’un appel d’offres pour sa refonte ou son extension? A-t-on le projet de disposer d’une plateforme RH interactive, où l’on pourra mettre les évaluations du personnel, mais également procéder au recrutement? Les droits des personnes concernées pouvant être impactés de manière importante, il faudra procéder à une analyse d’impact et, si le développement de ce nouvel outil a été confié à une équipe en interne ou à un prestataire externe, il faudra s’assurer que ce développement se fait en tenant compte des exigences de la conformité.

Cyberattaque, perte ou vol de données

Par ailleurs, une nouvelle obligation est celle de devoir annoncer à l’autorité de surveillance toute violation de données pouvant impacter les droits de personnes concernées de manière importante. Si l’on pense immédiatement aux cyberattaques, il ne faut pas négliger les violations de données d’une autre nature: la perte ou le vol d’un ordinateur portable professionnel non sécurisé, ou d’une clé USB non chiffrée, un prestataire externe indélicat, mal cadré, ou aux accès trop larges au système d’information qui profite pour siphonner des données clients ou prospects, un salarié mécontent ou maltraité par la gouvernance et qui constitue des copies d’échanges courriels ou autres documents contenant des données personnelles, la destruction non sécurisée de documents d’archive qui se retrouvent dans la rue... voilà autant de violation de données à traiter comme telles.

Qu’en est-il de l’IA?

Si l’organisation songe à bénéficier de l’intelligence artificielle, une analyse des conséquences possibles en fonction des usages envisagés est indispensable, car selon ceux-ci des actions devront être menées en amont. Par exemple, si l’on songe à faciliter le tri des candidatures lors d’un recrutement, une première obligation sera de faire préalablement une analyse d’impact – les impacts peuvent être très différents selon le logiciel envisagé et les traitements de données personnelles consécutives. Si de plus le logiciel est capable de trier seul une part des dossiers de candidatures en les excluant d’office, et d’envoyer dans ces cas un courriel de refus, on se retrouve alors face à ce que la nouvelle LPD – à l’instar du RGPD – appelle une décision individuelle automatisée. Et dans ce cas le Responsable de traitement doit en informer la personne concernée, car elle pourra exiger qu’une personne physique revoie la décision. Et une fois les personnes concernées informées, si elles souhaitent savoir ce qui a conduit au rejet de leur dossier, il faudra être en capacité d’y répondre, et d’énoncer les critères objectifs non remplis ayant présidé au rejet de la candidature.

Entreprises situées sur le territoire de l’UE

Une obligation, peu connue, prévue par le RGPD, est celle d’avoir un représentant sur le territoire de l’Union pour les entreprises qui ne sont pas installées sur le territoire de l’Union, mais qui le cible dans le cadre de leurs offres de biens et de services. La nouvelle LPD prévoit l’équivalent pour les entreprises situées sur le territoire de l’Union qui ciblent le marché suisse. Sous l’angle des RH, sont concernés en particulier par l’obligation d’avoir un représentant RGPD, les entreprises de placements fixes et temporaires qui visent les pays qui nous entourent, France, Allemagne, Italie à la recherche de talents pour les entreprises suisses.

Registre des traitements dès 250 personnes

Pour finir, il est souvent question de l’obligation ou non de tenir un registre des traitements. Pour mémoire, il s’agit d’un très bon outil de gestion de la conformité puisque l’on référence tous les traitements de données personnelles faits à l’interne en accompagnant ces informations de celles relatives aux finalités, durée de conservation et lieu de conservation, communication à des tiers extérieurs en Suisse ou à l’étranger. Jusqu’à maintenant il n’était pas obligatoire, le système consistant plutôt à ce que les traitements de données personnelles sensibles soient annoncés aux autorités de surveillance. L’obligation de tenir le registre des traitements a été ancrée dans la loi. Mais, pratiquement, peu d’entreprises seront concernées car sous la force des lobbys cette obligation ne s’appliquera pas aux organisations de moins de 250 employés. Vu le tissu économique de PME suisse, beaucoup d’organisations échapperont donc à cette obligation. Mais pas toutes. Pour celles qui devront tenir un tel registre, l’appréhender comme l’outil de gestion indispensable à la conformité et à son suivi est la meilleure manière de faire contre mauvaise fortune bon cœur.